Hướng dẫn xử lý email trên TMG 2010 Firewall – Phần IV: Lọc Virus (phần 2) potx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (291.2 KB, 7 trang )
Hướng dẫn xử lý email trên TMG 2010 Firewall – Phần IV: Lọc
Virus (phần 2)
Cấu hình Antivirus
Chúng ta hãy đi xem xét cấu hình Antivirus cho email trên TMG firewall.
Kích liên kết Virus Filtering trong panel giữa của giao diện điều khiển.
Có khá nhiều lợi ích trong việc sử dụng nhiều cỗ máy antivirus: tăng khả
năng bắt các mối đe dọa mới thậm chí không cần tất cả các cỗ máy đều
được cập nhập mối đe dọa khẩn cấp này, và cung cấp sự đề phòng trong
trường hợp một cỗ máy nào đó gặp sự cố hoặc không được cập nhật kịp
thời, các cỗ máy khác vẫn có thể bổ sung công việc cho nó. Bạn có thể
kích hoạt đến 5 cỗ máy khác nhau. Lưu ý rằng, càng nhiều cỗ máy sẽ
càng tốt, nhưng như vậy bạn sẽ trả giá về mặt hiệu suất.
Tab đầu tiên mà chúng ta sẽ làm việc ở đây là Engines. Trong tab này
chúng ta có các tùy chọn sau:
Use automatic engine management: Khi chọn tùy chọn này, FPE
sẽ quyết định sử dụng cỗ máy antivirus nào và cách chúng được sử
dụng ra sao.
Manually enable up to 5 engines: Chọn tùy chọn này nếu bạn
muốn kiểm soát các cỗ máy nào được sử dụng và kiểm soát chính
sách lựa chọn hay sử dụng đối với các cỗ máy. Khi chọn tùy chọn
này, bạn phải chọn một hoặc nhiều cỗ máy antivirus từ danh sách.
Always scan with all selected engines: Khi chọn các cỗ máy
antivirus mong muốn, bạn cần định nghĩa một chính sách chọn
thông minh (Intelligent Engine Selection Policy). Khi chọn tùy
chọn Always scan with all selected engines, FPE sẽ quét thư bằng
tất cả các cỗ máy đã chọn.
Scan with a subset of selected engines that are available: Một cỗ
máy có sẵn (available) là cỗ máy không nằm trong trạng thái đang
nâng cấp. Khi một cỗ máy đang được nâng cấp, nó sẽ được đánh
dấu là không sẵn sàng (unavailable), vì vậy khi chọn tùy chọn này,
hệ thống sẽ không đợi cho tất cả các cỗ máy có sẵn trước khi hoàn
thiện kiểm tra thư. Tất cả các cỗ máy có sẵn sẽ được sử dụng khi
bạn chọn tùy chọn này.
Scan with a dynamically chosen subset of selected engines: Tùy
chọn này sử dụng phương pháp đánh giá dựa trên các kết quả gần
đây và các dự án thống kê để chọn ra nhiều cỗ máy nào được sử
dụng để quét thư.
Scan with only one of the selected engines: Tùy chọn này cũng
sử dụng phương pháp đánh giá dựa trên các kết quả gần đây hoặc
các dự án thống kê để chọn ra một cỗ máy được sử dụng để quét.
Bạn có thể thấy tất cả các tùy chọn này trong hình 6:
Hình 6
Hãy kích tab Remediation. Ở tab này chúng ta có các tùy chọn dưới đây:
Skip (detect only): Tùy chọn này phát hiện và báo cáo virus, tuy
nhiên nó vẫn chuyển tiếp thư, với cả malware, đến cửa tiếp theo.
Đây rõ ràng không phải là một tùy chọn có lợi.
Clean (repair attachment): Tùy chọn này sẽ cố gắng làm sạch các
đính kèm và sau đó phân phối đính kèm đã được làm sạch này đến
đích kế tiếp của nó. Nếu TMG không thể làm sạch đính kèm nào
đó, nó sẽ được remove và một đính kèm khác có đánh dấu đã xóa
sẽ được tích hợp vào thư.
Delete: Tùy chọn này sẽ xóa một đính kèm có tiêm nhiễm virus và
một file được đánh dấu đã xóa sẽ thay thế cho đính kèm bị tiêm
nhiễm này.
Enable: Tùy chọn này cho phép file đánh dấu xóa, đó là một file
.txt có chứa văn bản xác nhận xóa mà bạn đã nhập vào trước.
Deletion Text: Đây là thông tin được tích hợp vào file văn bản
xóa. Entry %File% sẽ được thay thế bởi tên của file bị xóa.
Bạn có thể thấy hộp thoại này trong hình 7.
Hình 7
Cuối cùng, hãy kích tab Options. Đây là tab có các tùy chọn sau:
Scan doc files as containers: Bạn có thể thiết lập tùy chọn này để
quét các file .doc có sử dụng dữ liệu nhúng OLE với tư cách tệp tin
chứa để các file được nhúng cũng được quét.
Container scanning timeout (seconds): Thời gian timeout mặc
định là 120 giây cho việc quét tệp tin chứa, tuy nhiên bạn có thể
thay đổi giá trị này ở đây.
Action to perform upon reaching scanner timeout: Ở đây bạn
có thể chọn hành động cần thực hiện khi chạm đến giới hạn
timeout.
Action to perform for illegal MIME headers: Ở đây bạn có thể
chọn hành động gì cần thực hiện nếu phát hiện thấy một tiêu đề có
vẻ không hợp lệ (ví dụ như, thanh lọc hoặc xóa).
Transport sender information: Thiết lập này quyết định cách
truyền tải các thông tin của người gửi.
Purge message if body is deleted: Mặc định, các thư sẽ được
thanh lọc nếu trong thân chúng có phát hiện thấy virus.
Optimize for performance (do not rescan message): Mặc định,
thư sẽ không cần quét lại sau khi thực hiện lọc. Điều này giúp tăng
hiệu suất nhưng bạn có thể thay đổi tại đây.
Hình 8
Lọc nội dung trong thân (Body) email
Kích liên kết Message Body Filtering trong phần panel giữa của giao
diện điều khiển. Trong hộp thoại Message Body Filtering, kích tab
Message Body Filters. Kích nút Add. Khi đó bạn sẽ thấy xuất hiện hộp
thoại Message Body Filter như thể hiện trong hình 8 bên dưới. Trong tab
General, bạn có các tùy chọn sau:
Enable this filter: Tùy chọn này sẽ kích hoạt bộ lọc mà bạn đang
tạo
Filter Name: Cho phép bạn đặt tên để phân biệt các bộ lọc.
Action for messages matching this filter: Cho phép bạn chọn các
hành động Skip, Identify, Delete và Purge. Hành động Skip sẽ
kiểm tra thư và ghi nó có hợp lệ với các tiêu chuẩn hay không, tuy
nhiên sau đó sẽ chuyển tiếp nó đến đích tiếp theo. Hành động
Identify sẽ gắn thêm vào dòng chủ đề một từ tùy chỉnh được sử
dụng cho việc lọc thư trong inbox. Còn hành động Delete sẽ xóa
thư, Purge sẽ remove thư khỏi hệ thống.
Scan inbound messages: Khi được kích hoạt, tùy chọn này sẽ cấu
hình FPE để quét các thư gửi vào tổ chức bạn.
Scan outbound messages: Khi được kích hoạt, tùy chọn này sẽ
cấu hình FPE để quét các thư gửi ra khỏi tổ chức bạn.
Hình 9
Kích tab Keywords trong hộp thoại Message Body Filters, như thể hiện
trong hình 10. Ở đây bạn có thể định nghĩa các từ khóa cho việc kiểm tra
bên trong nội dung (body) thư. Có thể sử dụng các từ rời rạc hoặc có thể
lợi dụng các rule cú pháp của danh sách từ khóa, hoạt động như các truy
vấn nội dung của thư. Cú pháp truy vấn là thứ khá phức tạp, tuy nhiên
nhóm TMG firewall đã thực hiện một công việc tốt trong việc chi tiết hóa
cách xây dựng các truy vấn này, hoàn toàn qua các ví dụ. Bạn có thể kiểm
tra các hướng dẫn của họ tại đây.
Hình 10
Kết luận
Trong phần này, chúng tôi đã giới thiệu cho các bạn về các tùy chọn
Virus Filtering và Content Filtering. Sử dụng TMG, bạn có thể khóa mail
gửi đến và gửi đi có chứa malware; hoặc các thư có chứa nội dung bên
trong chủ đề hoặc body của thư mà bạn cho rằng không thể chấp nhận.
Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn
thủ tục được sử dụng để tạo Edge Subscription với back-end Exchange
Server. Đây là một tính năng có giá trị vì nó cho phép bạn có thể thực
hiện lọc người nhận để từ đó có thể chặn một số thư gửi đến các địa chỉ
nào đó trong tổ chức của bạn.
